将 SSH CA 证书限制为特定用户/组

将 SSH CA 证书限制为特定用户/组

是否可以将 CA 证书的使用限制为特定用户/主体/组?

用例是我想要 2 个 CA 证书。其中一个将用作自动化系统的一部分来签署用户密钥。如果此证书被泄露,我想确保它不能被用来允许某人登录管理员帐户。

另一个 CA 证书显然会更安全地存储(气隙等)并用于管理员帐户。

答案1

根据 Ulrich Schwarz 的评论:

如果我将普通用户添加到endusers组中,那么我可以像这样设置 sshd_config:

TrustedUserCAKeys /etc/ssh/admin_ca.pub
Match Group endusers
    TrustedUserCAKeys /etc/ssh/user_ca.pub

这导致 user_ca 仅被endusers组中的用户接受,而 admin_ca 可用于任何用户。

相关内容